Aanitaa, lo del protocolo icmp no lo sabía. Es una información me das ahora. Es por ello lo de la captura de paquetes. ¿ Te aseguraste que solo usa icmp ?.

Sobre el tema del P2P, ahí si te puede ser de mucha ayuda un capturador de paquetes. Los programas P2P dejan, en ocasiones, huellas o firmas en las trazas que los hacen identificables respecto al tráfico legítimo. Además, tienes las estadísticas de uso por protocolos.

Es posible, también, que el usuario use gestores del tipo Jdownloader. Para ello tendrá que acceder a páginas donde se ubiquen los enlaces, además de los accesos a sitios tipo Megauploader, rapidshare, etc.

Aquí dejé hace tiempo una guía dereferencia de como identificar este tipo de tráfico:

http://seguridadyredes.nireblog.com/...en-nuestra-red